神州数码防火墙 1800 22-IPSEC配置示例-基于路由动态IPSEC
神州数码路由交换配置命令(全)
神州数码路由交换配置命令(全)路由 ssh aaa authentication login ssh local aaa authentication enable default enable enable password 0 123456 username admin password 0 123456 ip sshd enable ip sshd auth-methodssh ip sshd auth-retries 5 ip sshd timeout 60 TELNETR1_config#aaa authentication login default local R1_config#aaaauthentication enable default enable R1_config#enable password0 ruijie R1_config#line vty 0 4 R1_config_line#loginauthentication default R1_config_line#password 0 cisco 方法2,不需要经过3A认证R1_config#aaa authentication login default none R1_config#aaa authentication enable default enable R1_config#enable password 0 cisco R1_config#line vty 0 4 R1_config_line#login authentication default CHAP认证单向认证,密码可以不一致R2_config#aaa authentication ppp test local R2_config#username R2 password 0 123456 R2_config_s0/2#enc ppp R2_config_s0/2#ppp authentication chap test R2_config_s0/2#ppp chap hostname R1 R1_config#aaa authentication ppp test local R1_config#username R1 password 0 123456 R1_config_s0/1#enc ppp R1_config_s0/1#ppp authentication chap test R1_config_s0/1#ppp chap hostname R2 pap认证双向认证,密码要求一致R2_config#aaa authentication ppp test local R2_config#username R2 password 0 123456 R2_config_s0/2#enc ppp R2_config_s0/2#pppauthentication pap test R2_config_s0/2#ppp pap sent-usernameR1 password 123456 R1_config#aaa authentication ppp test localR1_config#username R1 password 0 123456 R1_config_s0/1#enc ppp R1_config_s0/1#ppp authentication pap testR1_config_s0/1#ppp pap sent-username R2 password 123456 FR Router-A_config_s1/1#encapsulation frame-relay !封装帧中继协议 Router-A_config_s1/1#frame-relay local-dlci 17 !设置本地DLCI 号Router-A_config_s1/1# frame-relay intf-type dce !配置FR的DCE Router-A_config_s1/1# frame-relay map 192.168.1.2 pvc 17 broadcast !配置DLCI 与对端IP的映射Vrrp Int g0/4 vrrp 1 associate 192.168.20.254 255.255.255.0 vrrp 1 priority 120 设置优先级,为主 vrrp 1 preempt 开启抢占 vrrp 1 track interface Serial0/1 30 追踪上行接口,防止上行接口DOWN了,自动降低优先级Int g0/6 vrrp 1 associate 192.168.20.254 255.255.255.0 vrrp 1 priority 100 设置优先级,为备,默认为100 vrrp 1 preempt 开启抢占vrrp 1 track interface Serial0/2 30 追踪上行接口,防止上行接口DOWN了,自动降低优先级RIP 验证,只有V2支持验证interface Serial0/2 接口起验证和配密码 ip rip authentication simple iprip password 123456RIP改单播router rip nei 192.168.1.1 RIP定时器router rip timers update 10 更新时间 timers exipire 30 失效时间 timers hosddown 50 抑制时间ospf router os 1 net 192.168.1.0 255.255.255.0 ar 0 不能写32位掩码 OSPF 虚链路 ROUTER OS2 进程起用AR 1 VI 2.2.2.2 对方ROUTER-ID OSPF 汇总ROUTER OS 2 进程起用 ar 0 range 192.168.0.0 255.255.252.0 OSPF 验证 ROUTER OS 2 明文 AR 0 AUTHEN SP 进程给需要验证的区域启用验证 INT S0/1 IP OS passw 123456 接口配置密码密文 router os 2 ar 0 authen me int s0/1 ip os me 1 md5 123456 bgp router bgp 100 no synchronization bgp全互联必须要关闭同步检查nei 192.168.12.1 remot 200 与AS外部路由建立邻居nei 2.2.2.2 remot 100 与AS内部路由建立邻居nei 2.2.2.2 up lo0 改更新接口为环回接口 nei 2.2.2.2 next-hop-self 改下一跳为自己 net 2.2.2.0 通告路由表里面有的路由ACL 路由上面的ACL要写子网掩码,不能写反掩码基于时间的ACL time-range acl 定义一个时间范围periodic weekdays 09:00 to 12:00 periodic weekdays 14:00 to 17:00 IP access-list extended time 写一个基于时间的acl,调用时间段deny ip 192.168.10.0 255.255.255.0 any time-range acl permit ip any any int g0/4 应用到接口 ip access-group time in int g0/6 ip access-group time in 静态NAT ip route 0.0.0.0 0.0.0.0 192.168.12.2 ip nat inside source static 192.168.10.10 192.168.12.1 int g0/6 ip nat in ints0/1 ip nat out NAPT ip access-list standard NAT 定义要转换的IP网段permit192.168.10.0 255.255.255.0 ip nat pool NAT 192.168.23.10192.168.23.20 255.255.255.0 创建转换的IP地址池 ip nat inside source list NAT pool NAT overload 关联要转换的IP网段和地址池 ip route default 192.168.23.3 写一条缺省路由,下一跳为出口网关的下一跳 router rip 如果跑路由协议,要把缺省重分发到动态路由 redistribute staticinterface Serial0/1 运用到内网接口ip nat inside interface Serial0/2 运用到外网接口 ip nat outside route-map ip acce sta acl 定义要匹配的流量 per 192.168.20.0255.255.255.0 route-map SHENMA 10 permit ma ip add acl 调用ACL set ip next-hop 192.168.12.1 改下一跳 int g0/3 ip po route-map SHENMA 定义到原接口 DHCP 给路由接口分配IP,不能是S口R1 ip dhcpd enable ip dhcpd pool 1network 192.168.12.0 255.255.255.0 range 192.168.12.10 192.168.12.20 R2 interface GigaEthernet0/6 ip address dhcp 给PC分配IP,底层网络要起路由互通实验全网起了RIP协议R1 ip dhcpd enable ip dhcpd pool 2 network 192.168.1.0255.255.255.0 range 192.168.1.10 192.168.1.20 default-router192.168.1.1 R2 ip dhcpd enable 要开启DHCP服务! interface GigaEthernet0/4ip address 192.168.1.1 255.255.255.0 ip helper-address192.168.12.2 设置DHCP服务器IP VPN (GRE) int t0 ipadd 172.168.10.1 255.255.255.0 给T0配IP t so s0/2 源,路由的出接口 t de 192.168.23.3 目的,对端的出接口IP,注意,要可达 t key 123456 T0口密码,两端要一致 exit ip route 192.168.20.0 255.255.255.0 t0 用T0口写一条要到达网段的静态路由int t0 ip add 172.168.10.3255.255.255.0 t so s0/1 t de 192.168.12.1 t key 123456 exit ip route 192.168.10.0 255.255.255.0 t0 VPN (IPSEC) R1 crypto ipsec transform-set SHENMA 设置转换集transform-type esp- des esp-md5-hmac 转换集的加密方式ip access-list extended 100 匹配感兴趣流 permit ip 192.168.10.0 255.255.255.0192.168.20.0 255.255.255.0 crypto map HAN 10 ipsec-isakmpset peer 192.168.23.3 设置对等体set transform-setSHENMA 关联转换集 match address 100 关联感兴趣流 interface Serial0/2 进接口调用 crypto mapHAN R3 crypto ipsec transform-set SHENMA 设置转换集transform-type esp-des esp-md5-hmac 转换集的加密方式,两端要一致ip access-list extended 100 匹配感兴趣流permit ip192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0 cryptomap HAN 10 ipsec-isakmp set peer 192.168.12.1 设置对等体 set transform-set SHENMA 关联转换集 matchaddress 100 关联感兴趣流interface Serial0/1 进接口调用crypto map HAN VPN (IKE) crypto isakmp key SHENMA 192.168.23.3 255.255.255.0 设置公共用密钥crypto isakmp policy 10 设置IKE策略 hash md5 aupre enc des group 1 lifetime 86400 crypto ipsec transform-set SHENMA 设置转换集transform-type esp-Des esp-Md5-hmac ip access-list extended 100 匹配感兴趣流permit ip 192.168.10.0 255.255.255.0 192.168.30.0 255.255.255.0 crypto map SHENMA 10 ipsec-isakmp 设置IPSEC加密映射set peer 192.168.23.3 set transform-set SHENMA match address 100 int s0/2 调用到接口 crypto map SHENMA QOS int g0/4 ipadd 192.168.10.1 255.255.255.0 no shutint g0/6 ip add 192.168.20.1 255.255.255.0 no shut int s0/1 ipadd 192.168.12.1 255.255.255.0 phy spe 64000 no shut ip route0.0.0.0 0.0.0.0 192.168.12.2 ip access-list ex 1 定义ACL抓取流量permit ip 192.168.10.0 255.255.255.0 2.2.2.0 255.255.255.0ip access-list ex 2 permit ip 192.168.20.0 255.255.255.0 2.2.2.0 255.255.255.0 priority 1 protocol ip high list 1 写一个IP协议的优先列表,调用ACL 1里面的地址,级别为HIGH priority 1 protocol ip low list 2 写一个IP协议的优先列表,调用ACL 2里面的地址,级别为LOW int s0/1 进接口调用priority 1 交换banner motd 系统登录标题 telnet telnet-server enable 开启TELNET telnet-server max-connection 16 最大连接数 ssh username ssh password 0 123456 ssh-server enable 开启SSH ssh-server timeout 60 连接超时时间ssh-server max-connection 16 最大连接数ssh-server authentication-retries 5 重连次数ssh-server host-key create rsa 创建新的主机密钥vrrp 1,首先要给所有的VLAN配上IP INT VLAN 10 IP ADD 192.168.10.1 255.255.255.0 NO SHUT 2,创建一个VRRP组ROUTER VRRP 10 VIRTUAL-IP 192.168.10.254 给虚拟IP INT VLAN 10 关联VLAN PRIORITY 120 给优先级(默认100)ENABLE 激活STP SW1 spanning-tree 开启STP spanning-tree mode mstp 改为MSTP模式spanning-tree mst configurtaion 配置域 name shenma 域名 revision-level 3 修正级别instance 1 vlan 10;20 在实例里面关联VLAN instance 2 vlan 30;40 exit spanning-tree mst 1 priority 4096 给实例配置优先级,越小的级别越高spanning-tree mst 2 priority 8192 SW2 spanning-tree 开启STP spanning-tree mode mstp 改为MSTP模式spanning-tree mst configurtaion 配置域name shenma 域名revision-level 3 修正级别 instance 1 vlan 10;20 在实例里面关联VLAN instance 2 vlan 30;40 exit spanning-tree mst 1 priority 8192 给实例配置优先级,越小的级别越高spanning-tree mst 2 priority 4096 SW21 spanning-tree 开启STP spanning-tree mode mstp 改为MSTP模式 spanning-tree mst configurtaion 配置域 name shenma 域名 revision-level 3 修正级别 instance 1 vlan 10;20 在实例里面关联VLANinstance 2 vlan 30;40 AM端口安全 am enable int e1/0/1 am port am mac-ip-pool 0000.1111.2222 192.168.10.1 端口镜像monitor session 1 source int e1/0/1 both monitor session 1 destination int e1/0/15 RIP Router rip Net 192.168.1.0/24 Router os 1 Net 192.168.1.0 0.0.0.255 ar 0 Acl Firewall enableIp access-list ex 100 Per ip 192.168.1.0 0.0.0.255 192.168.2.00.0.0.255 单臂路由R1 int g0/5 no shut interface GigaEthernet0/5.1 encapsulation dot1Q 100 ip address 192.168.10.1 255.255.255.0 interface GigaEthernet0/5.2 encapsulation dot1Q 200 ip address 192.168.20.1 255.255.255.0 interface GigaEthernet0/5.3 encapsulation dot1Q 300 ip address 192.168.30.1 255.255.255.0SW1 vlan 100\ sw int e1/0/1-2 vlan 200 sw int e1/0/3-4 vlan 300 sw int e1/0/5-6 int e1/0/20 sw mo tr sw tr all vlan all 端口聚合 PORT-GROUP 1 创建一个组 INT E1/0/17-18 聚合端口要设置为TRUNK SW MO TR SW TR ALL VLAN ALL PORT-GROUP 1 MO ON 设置聚合端口的模式为自动匹配EXIT INT PORT-CHANNAL 1 进入聚合端口配置模式,也要设置为TRUNK SW MO TR SW TR ALL VLAN ALL EXIT dhcp SERV DHCP 开启DHCP服务IP DHCP POOL VLAN10 创建地址池NETW 192.168.10.0 255.255.255.0 def 192.168.10.1 le 2 dns 8.8.8.8 ipdhcp ex 192.168.10.1 192.168.10.10 排除地址范围 dhcp 中继serv dhcp ip for udp boot int vlan 10 ip he 192.168.12.2dhcp snooping serv dhcp 开启DHCP服务ip dhcp snooping enable 开启DHCP SNOOPING 功能ip dhcp snooping binding enable 开启SNOOPING 绑定功能 int e1/0/20 ip dhcp snooping trust 设置接口为信任接口,一般是与服务器相连的接口 int e1/0/1 ip dhcp snooping binding user-control 设置端口自动绑定获取DHCP的地址设置端口手动绑定MAC,VLAN,IP,端口信息(全局模式)ip dhcp snooping binding user 00-11-22-33-44-55 address 192.168.22.22 vlan 1 int e1/0/5 ipv6 6 to 4 greipv6 unicast-routing 允许单播路由interface Tunnel0 ipv6enable 开启IPV6 ipv6 address 2001:23::1/64 tunnel source 192.168.12.1 本端接口地址 tunnel destination 192.168.12.2 对端接口地址tunnel mode gre ip 隧道模式改为GRE tunnel key 123456 隧道密码,两端一致 ipv6 route 3::/64 Tunnel0 写一条下一跳为TUNNEL 0的IPV6静态,不能写默认静态nat Internet(config)#ip route 0.0.0.0 0.0.0.0 fa0/1ipv4网络要可达NAT-PT(config)#ip route 0.0.0.0 0.0.0.0fa0/1NAT-PT(config)#ipv6 nat prefix 2001:db8:feed::/96 设置一个全局NAT前缀,掩码必须96位NAT-PT(config)#ipv6 nat v4v6 source 10.10.10.2 2001:db8:feed::2 写4 TO 6 地址转换,需要到达的地址都要写, 不需要与本地同一网段NAT-PT(config)#ipv6 nat v4v6 source 192.168.1.10 2001:db8:feed::3 NAT-PT(config)#ipv6 nat v6v4 source 2001:db8:cafe:ffff::2 10.10.20.5 写6 to 4 地址转换,需要到达的地址都要写,不需要与本地同一网段 int g0/4 调用到接口,进出都要调用 ipv6 natint g0/4 ipv6 nat pat ipv4 网络要可达NAT-PT(config)#ipv6 nat prefix 2001:db8:feed::/96 设置一个全局NAT前缀,掩码必须96位NAT-PT(config)#ipv6 nat v4v6 source 10.10.10.2 2001:db8:feed::2 写4 TO 6 地址转换,需要到达的地址都要写NAT-PT(config)#ipv6 nat v4v6 source 192.168.1.10 2001:db8:feed::3 不需要与本地同一网段NAT-PT(config)#ipv6 access-list cafe 把IPV6要转换的网段匹配出来NAT-PT(config-ipv6-acl)#permit ipv6 2001:db8:cafe::/48 any NAT-PT(config-ipv6-acl)#exit NAT-PT(config)#ipv6 nat v6v4 pool ipv4 10.10.20.5 10.10.20.6 prefix-length 24 写一个6 TO 4 的NAT地址池,不需要已知网段 NAT-PT(config)#ipv6 nat v6v4 source list cafe pool ipv4 overload 把要转换的网段与地址池关联int g0/4 ipv6 nat int g0/4 ipv6 nat riping ipv6 router rip 100 全局创建RIP实例,名字为100 exit interface GigaEthernet0/4ipv6 enable 开启IPV6 ipv6 address 2001::1/64 ipv6 rip 100 enable 启动为100的实例需要宣告的接口要设置ospfv3 ipv6 router ospf 1 全局创建ospf,进程为1 int g0/6 ipv6 enable ipv6 address 2001::1/64 ipv6 ospf 1 area 0 宣告本接口为 area 0 需要宣告的接口要设置。
神州数码DCFW-1800防火墙快速配置
神州数码DCFW-1800防火墙快速配置多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT 配置一、网络拓扑Internet网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui 登录防火墙界面输入缺省用户名admin ,密码admin 后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
(参考资料)神州数码防火墙命令
Configure static MAC address entry Configure the description of MAC address
解释
Enter configuration mode Import image/license/configuration to system
Export image/license/log/configuration/database/pktdumpfrom
system Reset functions or clear the screen
Configure ECMP route selection type Expand source NAT's port resource
Configure Flex QoS for IP queue Configure Flex QoS ramp-up rate
Configure flow Configure the work status of the flow on core0
Configure block notification Configure class map Configure clock time
Configure serial console functions
contentfilter contentfilter-profile
cwmp ddns dhcp-server dot1x ecmp-route-select expanded-port-pool flex-qos flex-qos-up-rate flow flow-on-core0 fragment ftp gratuitous-arp-send gtp-profile ha host-blacklist hostname http https im-profile interface
神州数码大型企业网络防火墙解决方案
神州数码大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。
另一方面,神州数码DCFW-1800系列防火墙还内置了VPN 功能,可以实现利用Internet构建企业的虚拟专用网络。
返回页首防火墙VPN解决方案作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC 通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。
神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性:- 标准的IPSEC,IKE与PPTP协议- 支持Gateway-to-Gateway网关至网关模式虚拟专网- 支持VPN的星形(star)连接方式- VPN隧道的NAT穿越- 支持IP与非IP协议通过VPN- 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。
- 支持密钥生存周期可定制- 支持完美前项保密- 支持多种加密与认证算法:- 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP- 认证算法:SHA, MD5, Rmd160- 支持Client-to-Gateway移动用户模式虚拟专网- 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。
返回页首防火墙双机热备方案为了保证网络的高可用性与高可靠性,神州数码DCFW-1800E防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙。
DCN1800E说明书
神州数码多核安全网关DCFW-1800E-2GDCFW-1800系列多核安全网关是神州数码网络公司专为各种规模的企业网、园区网、城域网及运营商用户开发的新一代多功能专业网络安全产品。
依托于领先的多核架构平台,集强大的安全防护、防病毒、IPS、抗攻击、VPN、QoS及应用层行为管控等功能与一身,结合强劲性能优势为您的网络提供非同寻常的安全动力。
此外DCFW-1800系列多核安全网关具有的最低总体拥有成本优势及部署简单、容易维护的特点,都使它在网络安全组网方案中具有突出的优势。
强大的产品强势的解决方案全面强壮您的网络DCFW-1800E-2G多核安全网关是神州数码网络公司面向大中型企业和运营商用户设计开发的新一代多功能安全网关产品,DCFW-1800E-2G多核安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,配合神州数码潜心研发的64位并行安全操作系统在多线程并行处理能力上的优势,使得DCFW-1800E-2G即使在处理多任务并发时也全无性能瓶颈之虞。
DCFW-1800E-2G多核安全网关提供6个GE接口和2个GE/SPF(Combo)接口,可充分满足大中型网络对于不同接口类型及高接口密度的需求。
产品特点1.DCFW-1800E-2G多核安全网关采用64位多核MIPS处理器和128GCrossbar高速交换总线技术,带来多种安全性能的全面突破。
神州数码DCFW-1800系列多核安全网关拥有业界领先的工业化设计工艺,硬件上广泛采用高品质的元器件,这让产品不但在可靠性和稳定性上具有了电信级的水平,而且也使得整机功耗大大降低,神州数码DCFW-1800系列多核安全网关还率先通过了RoHS环保认证和欧洲CE认证,因此DCFW-1800E-2G多核安全网关是真正意义上的绿色环保产品。
神码防火墙配置-配置步骤
1800 E/S 网桥模式的配置步骤(本部分内容适用于:DCFW-1800E 和DCFW-1800S系列防火墙)在本章节我们来介绍一下1800E和1800S防火墙网桥模式的配置方法以及步骤。
网络结构:内网网段为:10.1.157.0 /24,路由器连接内部网的接口IP地址为:10.1.157.2 ,内网主机的网关设为:10.1.157.2pc1 IP地址为:10.1.157.61防火墙工作在网桥模式下,管理地址为:10.1.157.131 ,防火墙网关设为:10.1.157.2管理主机设为:10.1.157.61要求:添加放行规则,放行内网到外网的tcp,udp,ping ;外网能够访问pc1 的http,ftp,ping 服务。
地址转换在路由器上作。
注意:1800E和1800S在启用网桥模式后,只能在内网口上配置管理ip地址,外网口不能配置IP 地址,DMZ口在网桥模式下不能用。
并且启用网桥后只能在内网中管理防火墙!!!。
实验步骤:说明:防火墙的网络地址的默认配置:内网口192.168.1.1 , 外网口192.168.0.1 ,DMZ口192.168.3.1系统管理员的名称:admin 密码:admin.一根据需求更改防火墙IP地址,添加管理主机,然后进入web管理界面1.1进入超级终端,添加管理防火墙的IP地址:( 超级终端的配置)点击确定,然后按数下回车,进入到1800E/S防火墙的超级终端配置界面:Welcome to Digital China DCFW (C)Copyright 2003 Digital China, All rights reservedlogin: admin输入正确的用户名admin ,然后回车。
1.2 根据网络环境更改防火墙的内网口的IP地址和防火墙的网关说明:if0 为防火墙的外网口;if1 为防火墙的内网口;if2 为防火墙的DMZ口1.3 为了验证我们刚才的配置,可以在超级终端中运行如下的命令:1.4完成上面的配置后,我们就可以在管理主机上(也就是IP地址为10.1.157.61的那台机器上)通过WEB 的方式来管理防火墙了首先将管理主机的pc机的IP地址更改为:10.1.157.61然后打开浏览器,进入到防火墙的web管理界面模式,如下图:在IE的地址栏中输入:https://防火墙地址:1211也就是:https://10.1.157.131:1211进入web管理页面后我们就可以在图形界面下对防火墙进行其他复杂的操作了。
DCFW1800操作指南
保存配置
1.apply 使配置生效 # apply 修改配置后,要用apply 命令才能使新配置生效 2.save 将配置写入flash 中 # save 修改配置后,如果不用save 命令写到非易失存储 器中,下次重启防火墙后,当前运行的配 置将丢失。
Ruleconfig命令
1、回复出厂设置 #ruleconfig load defaultruleconfig save 2、保存策略 语法 ruleconfig save <index> <comment> 描述:保存当前配置用来将当前的防火墙策略配 置保存到防火墙主机的非易失存储器中,以备以 后加载。参数
常用命令
接口配置 1.察看网口当前地址 # ifconfig list 2.配置网口IP # ifconfig if0 1.2.3.4/24 3.添加管理主机地址 # adminhost add 10.0.0.56 4.设置管理主机的名称 # hostname firewall 5.管理主机的删除 # adminhost del <index>(指定要删除的WEB管理机的序 号)
物理规格 机型 处理器 DRAM 内存 Flash 闪存 USB 接口 网络接口 MTBF 电源配置 输入范围 1U 可上架标准设备 多核 64 位处理器 1GB 256MB 0 8×GE 10 万小时 单电源 100AC 100-240V 50/60Hz
产品规格
外形尺寸(W×D×H) 外形尺寸(W×D×H) 1 U (442×367×44) 工作环境温度 环境相对湿度 重量 0-45℃ 10-95%(不结露) 10-95%(不结露) 不结露 2.8kg
配置方式
防火墙的配置方式有两种:web 浏览器和命令 行。下表列出了这两种方式的系统要求:
山石网科SG神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册
山石网科SG/神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册更多产品迁移说明:山石网科安全网关是Hillstone针对中小企业及分支机构用户的安全现状和需求推出的全新高性能多核安全网关。
产品采用业界领先的多核Plus G2安全架构和64位实时安全操作系统StoneOS®,提供全方位的安全防护、易用的可视化管理和卓越的性能,为中小企业和分支机构用户提供高性价比的全面安全解决方案。
山石网科下一代智能防火墙采用创新的主动检测技术和智能多维处理架构,通过全网健康指数帮助用户实时掌握安全状况;基于先进的应用识别和用户识别技术,为用户提供高性能应用层安全防护及增强的智能流量管理功能。
神州数码DCFW-1800系列防火墙是神州数码网络有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品,能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。
DCFW-1800系列防火墙拥有集成的网络安全硬件平台,采用专有的实时操作系统,可以灵活的划分安全域,并且可以自定义其它安全级别的域,防火墙的安全策略规则会对信息流进行检查和处理,从而保证网络的安全。
武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品,有硬件整机、OS软件、虚拟化云网关等三种产品形式,OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成,每个APP都有配套的在线帮助、任务向导、视频演示和状态统计,可以担当安全网关、防火墙、UTM、NGFW等角色,胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任,具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点,是云计算时代的网络安全产品。
以下是两者之间的功能对比迁移表:山石网科SG v5.0功能项页码中神通UTMWALL v1.8功能项页码第1章产品概述 1 A功能简介8第2章搭建配置环境 6 B快速安装指南9第3章命令行接口(CLI)10 B快速安装指南9第4章系统管理15 2系统管理47C缺省配置3.7 DNS解析2.4 菜单界面2.8 帐号口令2.2 初始设置1.7 ARP状态8.2 用户8.3 用户组3.1 网卡设置直接使用内置存储器2.6 配置管理1.13 测试工具1.2 功能统计重启关闭系统2.7 升级管理2.1 许可证4.6 SNMP服务本版本暂无,山石自有产品2.5 本地时间5.2 时间对象3.1 网卡设置监控缺省网关1.14 系统日志A功能简介3.1 网卡设置3.1 网卡设置3.4 网桥设置3.1 网卡设置5基础策略A功能简介5.4 会话对象5.7 总控策略内置<见下><见下>3.4 网桥设置2.2 初始设置2.2 初始设置2.2 初始设置1.7 ARP状态3.4 网桥设置硬件设备BIOS设置3.3 VLAN3.4 网桥设置3.1 网卡设置3.6 路由设置2.2 初始设置3.1 网卡设置3.1 网卡设置5.1 地址对象5.7 总控策略5.7 总控策略8.3 用户组<见下><见下>4.1 ARP服务5.1 地址对象4.1 ARP服务1.12 实时监控1.8 流量统计4.1 ARP服务8用户认证5.7 总控策略8.3 用户组5.6 NAT策略6.2 特殊应用功能设置10.1 IPSEC VPN总体设置10.2 IPSEC VPN本机设置10.3 IPSEC VPN网关10.4 IPSEC VPN连接本版本暂无,山石自有产品9.1 PPTP总体设置9.1 PPTP总体设置9.1 PPTP总体设置9.1 PPTP总体设置11.1 SSL接入11.2 SSLVPN总体设置5.7 总控策略内置3.4 网桥设置3.1 网卡设置3.6 路由设置3.7 DNS解析4.4 DDNS服务4.3 DHCP服务9.3 PPPOE总体设置使用UTMWALL-VM虚拟机5.5 QoS对象10.2 IPSEC VPN本机设置8.2 用户用户证书2.8 帐号口令管理员证书3.5 双机热备6.24 防病毒引擎6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤7 入侵检测与防御6.6 DNS&URL库6.8 WEB代理过滤HTTPS代理6.3 网络审计6.4 WEB审计过滤6.4 WEB审计过滤6.9 WEB代理过滤规则6.6 DNS&URL库6.12 关键词规则6.13 关键词例外6.4 WEBPOST审计日志6.4 WEB审计过滤6.9 WEB代理过滤规则6.26 防垃圾邮件引擎6.16 POP3代理过滤6.17 SMTP代理过滤6.18 MSN审计过滤6.19 审计过滤6.2 特殊应用功能设置6.2 特殊应用功能设置6.4 WEB审计过滤6.15 FTP代理过滤1.15 日志统计1.15 日志统计1.15 日志统计参考文件:1. Hillstone山石网科多核安全网关使用手册_5.0R1P12. 神州数码DCFW-1800系列安全网关使用手册_4.0R4C6 (588页)3. 中神通UTMWALL网关管理员手册。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FW-A 防火墙配置步骤
本案例采用“预共享密钥认证”机制
• 第一步,创建IKE第一阶段提议 • 第二步,创建IKE第二阶段提议 • 第三步,创建VPN对端 • 第四步,创建IPSEC隧道 • 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口 • 第六步,添加隧道路由 • 第七步,添加安全策略
2
1
3
4
第七步,添加安全策略
• 添加安全策略,允许对端VPN保护子网访问本地VPN保护 子网
2
1 3
4
查看A防火墙状态
• 查看FW-A防火墙上两个阶段的隧道状态
1
2
查看B防火墙状态
• 查看FW-B防火墙上两个阶段的隧道状态
1
2
注意事项:
• 1、需要ipsec隧道建立的条件必须要动态获取地址端触发 • 2、tunnel接口地址设置,如果未设置,从一端局域网无法 ping通另外一端防火墙内网口地址; 另外如果设置了tunnel地址,可以通过在防火墙A 上ping 防火墙B的tunnel地址来实现触发。 • 3、在IPSEC VPN隧道中关于代理ID的概念,这个代理ID是 指本地加密子网和对端加密子网。如果两端都为神州 数码多核防火墙该ID可以设置为自动;如果只是其中 一端为多核墙,那必须要设置成手工。 • 4、如果防火墙一端为动态获取IP地址,设置VPN对端中使 用野蛮模式
第一步,创建IKE第一阶段提议
• 定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段 协商内容需要一致。
2 3
4 1
5
第二步,创建IKE第二阶段提议
• 定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商 内容需要一致。
2
3 4
1
5
第三步,创建VPN对端
• 创建VPN对端,并定义相关参数
动态IPSEC配置示例 FOR4.0R4
讲解人:朱建英 2010、07
示例功能描述
网络拓扑
Eth0/0:192.168.1.1/24 Zone:trust Eth0/1:218.240.143.219/29 Zone:untrust
Network:192.168.1.0/24
FW-A Internet
• 在路由表中添加目的地为对端保护子网的路由,该路由的 下一跳为隧道接口tunnel1。
2
1
3
4
第七步,添加安全策略---创建地址簿
• 在添加安全策略之前先定义好表示两端保护子网的地址对 象,下图中只列举其中一个地址簿
2 1 3
4
5
第七步,添加安全策略
• 添加安全策略,允许本地VPN保护子网访问对端VPN保护 子网
2
1
3
4
第七步,添加安全策略
• 添加安全策略,允许对端VPN保护子网访问本地VPN保护 子网
2
1 3
4
FW-B 防火墙配置步骤
本案例采用“预共享密钥认证”机制
• 第一步,创建IKE第一阶段提议 • 第二步,创建IKE第二阶段提议 • 第三步,创建VPN对端 • 第四步,创建IPSEC隧道 • 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口 • 第六步,添加隧道路由 • 第七步,添加安全策略
2
3
4 1
5
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
2
3
4
1
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
5
6
7
8
第五步,创建隧道接口
• 创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道 与其绑定
2
1 3
4 5
第六步,添加隧道路由
Network:192.168.100.0/24
Eth0/0:192.168.100.1/24 Zone:trust
FW-B
Eth0/1:PPPOE Zone:untrust
注:该案例假设防火墙已完成了基本的上网配置
拓扑环境描述
• 防火墙FW-A具有合法的静态IP地址,防火墙FW-B外网为
PPPOE动态获取IP地址 • 其中防火墙FW-A的内部保护子网为192.168.1.0/24 • 防火墙FW-B的内部保护子网为192.168.100.0/24。 要求在FW-A与FW-B之间创建IPSec VPN,使两端的保护子 网能通过VPN隧道互相访问。
第一步,创建IKE第一阶段提议
• 定义IKE第一阶段的协商内容,两台防火墙的IKE第一阶段 协商内容需要一致。
2 3
4 1
5
第二步,创建IKE第二阶段提议
• 定义IKE第二阶段的协商内容,两台防火墙的第二阶段协商 内容需要一致。
2
3 4
1
5
第三步,创建VPN对端
• 创建VPN对端,定义相关参数
THANKS!
• 在路由表中添加目的地为对端保护子网的路由,该路由的 下一跳为隧道接口tunnel1。
2
1
3
4
第七步,添加安全策略---创建地址簿
• 在添加安全策略之前先定义好表示两端保护子网的地址对 象,下图中只列举其中一个地址簿
2 1 3
4
5
第七步,添加安全策略
• 添加安全策略,允许本地VPN保护子网访问对端VPN保护 子网
2
3
4 1
5
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
2
3 4
1
第四步,创建IPSEC隧道
• 创建到防火墙FW-B的VPN隧道,并定义相关参数。
5
6
7
8
第五步,创建隧道接口
• 创建隧道接口,绑定三层安全域,并将创建好的IPSec隧道 与其绑定
2
1
3
4
5
第六步,添加隧道路由